2018年3月份勒索病毒攻击事件频发,主要有GandCrab、Crysis、GlobeImposter和Satan四个勒索病毒家族,其中有三例均针对服务器攻击。此外,还发现FRS勒索病毒、Sigma勒索病毒、HERMES勒索病毒等八例新的勒索病毒。
1、GandCrab家族:勒索达世币、多渠道传播
3月初,GandCrab官网后台被入侵并泄露了部分密钥,不久GandCrab发布了第二代勒索病毒GandCrab2。从捕获的传播样本来看,不同于第一代GandCrab勒索病毒将加密文件后缀名改为“.GDCB”,GandCrab2加密文件后,文件后缀会被更改为“.CRAB”。
此外,GandCrab要求中招者使用达世币支付赎金。此前如WannaCry、Peyta等臭名昭著的勒索病毒多以比特币为勒索对象,但使用比特币时,任何交易都会被写到数据区块链中,这使得每个人都能查询交易,而达世币则帮助不法黑客隐藏了这些信息,使得其更加难被追踪,达世币逐渐成为不法黑客勒索钱财的“新宠”。
GandCrab家族勒索病毒传播渠道相对其他家族丰富很多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击令人防不胜防。水坑攻击传播通过入侵网站后台,将网页内容篡改为乱码,并且提示需要更新字体,诱导用户下载运行“字体更新程序”,实际上用户下载到的是GandCrab2勒索病毒。
2、Crysis家族:针对服务器攻击、利用RDP传播
Crysis家族最早可以追溯到2016年3月,但进入2017年之后,才开始持续传播,并且一直针对Windows服务器攻击。
主要传播方式是利用服务器弱口令漏洞,爆破远程登录用户名和密码,进而通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒。由于黑客是远程登录服务器后手动操作,因此即使服务器上安装有安全软件,也有可能会被黑客手动退出。
3、GlobeImposter家族:针对服务器攻击、利用RDP传播
GlobeImposter同样是个较老的勒索病毒家族,其初期主要通过钓鱼邮件针对个人用户攻击,如今或许是为了更高的收益,也将重点攻击目标逐步转向服务器。传播方式与Crysis家族类似,主要通过爆破后利用RDP协议远程登录操作。
4、Satan家族:针对服务器数据库文件加密、利用永恒之蓝漏洞
Satan勒索病毒也是个老家族,首次出现在2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本。在3月下旬,发现Satan勒索病毒爆发,利用NSA泄露的永恒之蓝漏洞工具主动攻击局域网内其他存在漏洞的系统,并且针对数据库文件进行加密。而勒索的赎金仅需要0.3个比特币,在各勒索病毒家族中实属“良心”。
5、FRS勒索病毒
3月9日,发现FRS勒索病毒。FRS勒索病毒加密文件后,会以.FRS作为后缀,留下的勒索信息中有中文和英文,提示需要使用桌面上的FRS Decryptor工具进行解密。运行FRS Decryptor后,会先免费解密一个文件,之后要继续解密的话,需支付0.5个比特币(约985人民币)作为赎金,才可以解密。
6、Sigma勒索病毒
3月12日,发现Sigma勒索病毒通过钓鱼邮件传播。钓鱼邮件附件为一个doc文档,黑客将恶意代码存在了文档的宏中,一旦用户运行便会下载Sigma勒索病毒。文件被加密后,Sigma会勒索价值400美元的比特币,但是7天之后赎金则会涨到800美元。
7、HERMES勒索病毒
3月12日,发现HERMES(爱马仕)勒索病毒。HERMES勒索病毒加密文件后并不会修改文件后缀,这使得用户无法估量勒索病毒给自己带来多少数据损失,也就更倾向于缴纳赎金解密。赎金具体金额需要受害者自行联系黑客。
8、Stinger勒索病毒
3月13日,发现Stinger勒索病毒,该勒索病毒加密文件后以“.Stinger”作为后缀,留下的勒索信息中带有多国语言,勒索100美元作为赎金解密。
9、Rapid勒索病毒
3月23日,发现Rapid2.0勒索病毒,该勒索病毒加密文件后,会将文件名改为一串数字,后缀为随机生成的5个字母,勒索的赎金金额需要受害者自行联系黑客。
10、DiskWriter勒索病毒
3月18日,发现一例新勒索病毒会修改MBR,导致一旦中招后将无法进入系统。根据提示需要缴纳价值300美元的赎金。但是,留下的勒索信息中仅有个缴纳赎金的比特币钱包地址,并没有联系方式,因此很有可能即使缴纳了赎金也无法解密。
11、Sorry勒索病毒
3月26日,发现Sorry勒索病毒。该勒索病毒加密文件后,将后缀修改为Sorry,具体勒索的赎金金额需要由受害者自行联系黑客。
12、bitcoin勒索病毒
3月26日,发现一例新勒索病毒,该勒索病毒勒索界面与WannaCry类似,加密文件后以“.bitcoin”作为后缀,会勒索价值100美元的比特币作为赎金。
除上述勒索病毒外,腾讯电脑管家还发现多例正处于开发阶段的勒索病毒,多数未有加密功能,腾讯电脑管家将j继续保持密切监控,以第一时间防御勒索病毒攻击。建议用户:
1、 不要点击来源不明的邮件附件
2、 及时打补丁,修复系统或第三方软件中存在的安全漏洞
3、使用“文档守护者”对重要文件和数据(数据库等数据)进行定期备份。
个人用户打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。
4、企业用户可使用腾讯御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html),有效防御企业内网终端的病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
5、企业用户还可使用腾讯御界防APT邮件网关(下载地址:https://s.tencent.com/product/yjwg/index.html),通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。